[comment]: # ({46adf407-46adf407})
# 3 Benutzergruppen

[comment]: # ({/46adf407-46adf407})

[comment]: # ({a3ed6ca5-f58db4c9})
#### Übersicht

Benutzergruppen ermöglichen es, Benutzer sowohl zu organisatorischen Zwecken als auch
zur Zuweisung von Berechtigungen für Daten zu gruppieren. Berechtigungen zum Anzeigen und Konfigurieren von Daten von Host-Gruppen und Vorlagengruppen werden Benutzergruppen zugewiesen, nicht einzelnen Benutzern.

Es kann oft sinnvoll sein, festzulegen, welche Informationen für
eine Benutzergruppe verfügbar sind und welche für eine andere. Dies kann erreicht werden, indem Benutzer gruppiert und anschließend unterschiedliche Berechtigungen für Host- und Vorlagengruppen zugewiesen werden.

Ein Benutzer kann beliebig vielen Gruppen angehören.

[comment]: # ({/a3ed6ca5-f58db4c9})

[comment]: # ({67897140-fe6bb4a1})
#### Konfiguration

So konfigurieren Sie eine Benutzergruppe:

-   Gehen Sie zu *Users → User groups*
-   Klicken Sie auf *Create user group* (oder auf den Gruppennamen, um eine
    vorhandene Gruppe zu bearbeiten)
-   Bearbeiten Sie die Gruppenattribute im Formular

Die Registerkarte **User group** enthält allgemeine Gruppenattribute:

![](../../../../assets/en/manual/config/user_group.png){width=600}

Alle Pflichtfelder sind mit einem roten Sternchen markiert.

|Parameter|Beschreibung|
|--|--------|
|*Group name*|Eindeutiger Gruppenname.|
|*Users*|Um Benutzer zur Gruppe hinzuzufügen, beginnen Sie mit der Eingabe des Namens eines vorhandenen Benutzers. Wenn die Dropdown-Liste mit passenden Benutzernamen angezeigt wird, scrollen Sie nach unten, um einen Benutzer auszuwählen.<br>Alternativ können Sie auf die Schaltfläche *Select* klicken, um Benutzer in einem Popup auszuwählen.|
|*Frontend access*|Wie die Benutzer der Gruppe authentifiziert werden.<br>**System default** - Standard-Authentifizierungsmethode verwenden (global festgelegt [globally](/manual/web_interface/frontend_sections/users/authentication))<br>**Internal** - interne Zabbix-Authentifizierung verwenden (auch wenn global LDAP-Authentifizierung verwendet wird).<br>Wird ignoriert, wenn HTTP-Authentifizierung der globale Standard ist.<br>**LDAP** - LDAP-Authentifizierung verwenden (auch wenn global interne Authentifizierung verwendet wird).<br>Wird ignoriert, wenn HTTP-Authentifizierung der globale Standard ist.<br>**Disabled** - der Zugriff auf das Zabbix Frontend ist für diese Gruppe verboten|
|*LDAP server*|Wählen Sie aus, welcher [LDAP server](/manual/web_interface/frontend_sections/users/authentication/ldap#configuration) zur Authentifizierung des Benutzers verwendet werden soll.<br>Dieses Feld ist nur aktiviert, wenn *Frontend access* auf LDAP oder System default gesetzt ist.|
|*Multi-factor authentication*|Wählen Sie aus, welche Multi-Faktor-Authentifizierung-[method](/manual/web_interface/frontend_sections/users/authentication/mfa#method-configuration) zur Authentifizierung des Benutzers verwendet werden soll:<br>**Default** - die in der MFA-Konfiguration als Standard festgelegte Methode verwenden; diese Option ist standardmäßig für neue Benutzergruppen ausgewählt, wenn MFA aktiviert ist;<br>**\<Method name\>** - die ausgewählte Methode verwenden (zum Beispiel "Zabbix TOTP");<br>**Disabled** - MFA ist für diese Gruppe deaktiviert; diese Option ist standardmäßig für neue Benutzergruppen ausgewählt, wenn MFA deaktiviert ist.<br>Beachten Sie: Wenn ein Benutzer mehreren Benutzergruppen mit aktivierter MFA angehört (oder mindestens eine Gruppe MFA aktiviert hat), gelten die folgenden Authentifizierungsregeln: Wenn eine Gruppe die MFA-Methode "Default" verwendet, authentifiziert sie den Benutzer; andernfalls wird die erste Methode (alphabetisch sortiert) zur Authentifizierung verwendet.|
|*Enabled*|Status der Benutzergruppe und der Gruppenmitglieder.<br>*Checked* - Benutzergruppe und Benutzer sind aktiviert<br>*Unchecked* - Benutzergruppe und Benutzer sind deaktiviert|
|*Debug mode*|Aktivieren Sie dieses Kontrollkästchen, um den [debug mode](/manual/web_interface/debug_mode) für die Benutzer zu aktivieren.|

Die Registerkarte **Template permissions** ermöglicht die Festlegung des Zugriffs der Benutzergruppe auf Vorlagengruppen- (und damit Vorlagen-) Daten:

![](../../../../assets/en/manual/config/user_group_templates.png){width="600"}

Die Registerkarte **Host permissions** ermöglicht die Festlegung des Zugriffs der Benutzergruppe auf Hostgruppen- (und damit Host-) Daten:

![](../../../../assets/en/manual/config/user_group_hosts.png){width="600"}

Klicken Sie auf ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"}, um die Vorlagen-/Hostgruppen
(sei es eine übergeordnete oder eine verschachtelte Gruppe) auszuwählen und ihnen Berechtigungen zuzuweisen. Beginnen Sie mit der Eingabe des Gruppennamens
(es wird eine Dropdown-Liste mit passenden Gruppen angezeigt) oder klicken Sie auf *Select*, um ein Popup-Fenster mit allen Gruppen zu öffnen.

Verwenden Sie dann die Optionsschaltflächen, um den ausgewählten Gruppen Berechtigungen zuzuweisen. Mögliche Berechtigungen sind:

-   **Read-write** - Lese- und Schreibzugriff auf eine Gruppe;
-   **Read** - Nur-Lesezugriff auf eine Gruppe;
-   **Deny** - Zugriff auf eine Gruppe verweigert.

Wenn dieselbe Vorlagen-/Hostgruppe in mehreren Zeilen mit unterschiedlichen Berechtigungen hinzugefügt wird, wird die strengste Berechtigung angewendet.

Beachten Sie, dass ein Benutzer mit der Rolle *Super admin* verschachtelte Gruppen so erzwingen kann, dass sie dieselbe Berechtigungsstufe wie die übergeordnete Gruppe haben; dies kann im Konfigurationsformular der [host](/manual/config/hosts/host_groups)/[template](/manual/config/templates/template_groups)-Gruppe erfolgen.

Die Registerkarten **Template permissions** und **Host permissions** unterstützen denselben Parametersatz. 

Die aktuellen Berechtigungen für Gruppen werden im Block *Permissions* angezeigt und können dort geändert oder entfernt werden.

:::noteclassic
Wenn eine Benutzergruppe über **Read-write**-Berechtigungen für einen Host und **Deny**- oder keine Berechtigungen für eine mit diesem Host verknüpfte Vorlage verfügt,
können die Benutzer dieser Gruppe die von Vorlagen abhängigen Datenpunkte auf dem Host nicht bearbeiten, und der Vorlagenname wird als *Inaccessible template* angezeigt.
:::

Die Registerkarte **Problem tag filter** ermöglicht das Festlegen von tagbasierten Berechtigungen für Benutzergruppen, um Probleme gefiltert nach Tag-Namen und -Wert anzuzeigen:

![](../../../../assets/en/manual/config/user_group_tags.png){width=600}

Klicken Sie auf ![](../../../../assets/en/manual/config/add_link.png){class="nozoom"}, um die Hostgruppen auszuwählen.
Um eine Hostgruppe für einen Tag-Filter auszuwählen, klicken Sie auf *Select*, um die vollständige Liste der vorhandenen Hostgruppen anzuzeigen, oder beginnen Sie mit der Eingabe des Namens einer Hostgruppe, um eine Dropdown-Liste mit passenden Gruppen zu erhalten. Es werden nur Hostgruppen angezeigt, da der Problem-Tag-Filter nicht auf Vorlagengruppen angewendet werden kann.

Anschließend kann von *All tags* zu *Tag list* gewechselt werden, um bestimmte Tags und deren Werte für die Filterung festzulegen.
Tag-Namen ohne Werte können hinzugefügt werden, Werte ohne Namen jedoch nicht. Nur die ersten drei Tags (gegebenenfalls mit Werten) werden im Block *Permissions* angezeigt; wenn es mehr gibt, können diese durch Klicken auf oder durch Überfahren des Symbols ![](../../../../assets/en/manual/config/items/itemtypes/dependent_item_button.png){class="nozoom"} angezeigt werden.

Der Tag-Filter ermöglicht es, den Zugriff auf die Hostgruppe von der
Möglichkeit zu trennen, Probleme anzuzeigen.

Wenn beispielsweise ein Datenbankadministrator nur Probleme der Datenbank "MySQL" sehen soll, muss zunächst eine Benutzergruppe für Datenbankadministratoren erstellt werden; anschließend sind der Tag-Name "target" und der Wert "mysql" anzugeben.

![](../../../../assets/en/manual/config/user_group_tag_filter_2.png){width=600}

Wenn der Tag-Name "target" angegeben ist und das Wertefeld leer bleibt,
sieht die Benutzergruppe alle Probleme mit dem Tag-Namen "target" für die ausgewählte Hostgruppe. 
Wenn *All tags* ausgewählt ist, sieht die Benutzergruppe alle
Probleme für die angegebene Hostgruppe. 

Stellen Sie sicher, dass Tag-Name und Tag-Wert
korrekt angegeben sind, andernfalls sieht die Benutzergruppe
keine Probleme.

Sehen wir uns ein Beispiel an, in dem ein Benutzer Mitglied mehrerer ausgewählter Benutzergruppen ist.
Die Filterung verwendet in diesem Fall eine ODER-Bedingung für Tags.

|   |   |   |   |   |   |   |
|---|---|---|---|---|---|---|
|**User group A**|<|<|**User group B**|<|<|**Visible result for a user (member) of both groups**|
|*Tag filter*|<|<|<|<|<|^|
|*Host group*|*Tag name*|*Tag value*|*Host group*|*Tag name*|*Tag value*|^|
|Databases|target|mysql|Databases|target|oracle|target:mysql or target:oracle problems visible|
|Databases|set to: *All tags*|<|Databases|target|oracle|All problems visible|
|Not configured in the **Problem tag filter**|<|<|Databases|target|oracle|target:oracle problems visible|

::: noteimportant
 Das Hinzufügen eines Filters (zum Beispiel alle Tags in einer
bestimmten Hostgruppe "Databases") führt dazu, dass die Probleme
anderer Hostgruppen nicht mehr angezeigt werden können.
:::

[comment]: # ({/67897140-fe6bb4a1})

[comment]: # ({fc2cc9c2-e74e2150})
#### Zugriff von mehreren Benutzergruppen

Ein Benutzer kann zu beliebig vielen Benutzergruppen gehören. Diese Gruppen können unterschiedliche Zugriffsberechtigungen auf Hosts oder Vorlagen haben.

Daher ist es wichtig zu wissen, auf welche Entitäten ein nicht privilegierter Benutzer letztlich zugreifen kann. Betrachten wir zum Beispiel, wie sich der Zugriff auf Host **X** (in Hostgruppe 1) in verschiedenen Situationen für einen Benutzer auswirkt, der in den Benutzergruppen A und B ist.

-   Wenn Gruppe A nur *Lesen*-Zugriff auf Hostgruppe 1 hat, Gruppe B jedoch *Lese- und Schreib*-Zugriff auf Hostgruppe 1, erhält der Benutzer **Lese- und Schreib**-Zugriff auf 'X'.

::: noteimportant
Berechtigungen für *Lese- und Schreib*-Zugriff haben Vorrang vor
Berechtigungen für *Lesen*.
:::

-   Wenn im selben Szenario wie oben 'X' gleichzeitig auch in Hostgruppe 2 enthalten ist, die für Gruppe A oder B **verweigert** ist, ist der Zugriff auf 'X' **nicht verfügbar**, trotz *Lese- und Schreib*-Zugriff auf Hostgruppe 1.
-   Wenn Gruppe A keine definierten Berechtigungen hat und Gruppe B *Lese- und Schreib*-Zugriff auf Hostgruppe 1 hat, erhält der Benutzer **Lese- und Schreib**-Zugriff auf 'X'.
-   Wenn Gruppe A *Verweigern*-Zugriff auf Hostgruppe 1 hat und Gruppe B *Lese- und Schreib*-Zugriff auf Hostgruppe 1 hat, wird der Zugriff auf 'X' **verweigert**.

[comment]: # ({/fc2cc9c2-e74e2150})

[comment]: # ({59189b5a-931529bc})
#### Weitere Details

-   Ein Benutzer auf Admin-Ebene mit *Lese-/Schreibzugriff* auf einen Host kann Vorlagen nicht verknüpfen/entknüpfen, wenn er keinen Zugriff auf die Vorlagengruppe hat, zu der sie gehören. Mit *Lesezugriff* auf die Vorlagengruppe kann er Vorlagen mit dem Host verknüpfen/entknüpfen, sieht jedoch keine Vorlagen in der Vorlagenliste und kann an anderen Stellen nicht mit Vorlagen arbeiten.
-   Ein Benutzer auf Admin-Ebene mit *Lesezugriff* auf einen Host sieht den Host nicht in der Hostliste des Konfigurationsbereichs; die Auslöser des Hosts sind jedoch in der IT-Service-Konfiguration zugänglich.
-   Jeder Benutzer ohne Super-Admin-Rechte (einschließlich 'guest') kann Netzwerkpläne sehen, solange der Plan leer ist oder nur Bilder enthält. Wenn Hosts, Hostgruppen oder Auslöser zum Plan hinzugefügt werden, werden die Berechtigungen berücksichtigt.
-   Der Zabbix Server sendet keine Benachrichtigungen an Benutzer, die als Empfänger einer Aktionsoperation definiert sind, wenn der Zugriff auf den betreffenden Host ausdrücklich "verweigert" ist.

[comment]: # ({/59189b5a-931529bc})